Cercetătorii au dezvoltat o soluție de securitate cu acest cip mic pentru modelele de IA care consumă energie, care oferă protecție împotriva a două atacuri comune.
Aplicații de monitorizare a sănătății poate ajuta oamenii să gestioneze bolile cronice sau să rămână pe drumul cel bun cu obiectivele de fitness, folosind nimic mai mult decât un smartphone. Cu toate acestea, aceste aplicații pot fi lente și ineficiente din punct de vedere energetic, deoarece vastele modele de învățare automată care le alimentează trebuie să fie transferate între un smartphone și un server de memorie central.
Inginerii accelerează adesea lucrurile folosind hardware care reduce nevoia de a muta atât de multe date înainte și înapoi. În timp ce aceste acceleratoare de învățare automată pot eficientiza calculul, ele sunt susceptibile la atacatori care pot fura informații secrete.
Pentru a reduce această vulnerabilitate, cercetătorii de la MIT și MIT-IBM Watson AI Lab au creat un accelerator de învățare automată care este rezistent la cele mai comune două tipuri de atacuri. Cipul lor poate păstra confidențialitatea înregistrărilor de sănătate, a informațiilor financiare sau a altor date sensibile ale unui utilizator, permițând în același timp modelelor AI uriașe să ruleze eficient pe dispozitive.
Echipa a dezvoltat mai multe optimizări care permit o securitate puternică, în timp ce încetinesc doar ușor dispozitivul. În plus, securitatea adăugată nu afectează acuratețea calculelor. Acest accelerator de învățare automată ar putea fi deosebit de benefic pentru aplicațiile AI solicitante, cum ar fi realitatea augmentată și virtuală sau conducerea autonomă.
În timp ce implementarea cipului ar face un dispozitiv puțin mai scump și mai puțin eficient din punct de vedere energetic, acesta este uneori un preț care merită plătit pentru securitate, spune autorul principal Maitreyi Ashok, un student absolvent de inginerie electrică și informatică (EECS) la MIT.
„Este important să proiectăm având în vedere securitatea de la zero. Dacă încercați să adăugați chiar și o cantitate minimă de securitate după ce un sistem a fost proiectat, este prohibitiv de scump. Am reușit să echilibrăm eficient multe dintre aceste compromisuri în timpul fazei de proiectare”, spune Ashok.
Co-autorii ei includ Saurav Maji, un student absolvent EECS; Xin Zhang și John Cohn de la MIT-IBM Watson AI Lab; și autorul principal Anantha Chandrakasan, ofițer șef de inovare și strategie al MIT, decan al Școlii de Inginerie și profesor Vannevar Bush de EECS. Cercetarea va fi prezentată la Conferința IEEE Custom Integrated Circuits.
Susceptibilitatea canalului lateral
Cercetătorii au vizat un tip de accelerator de învățare automată numit calcul digital în memorie. Un cip IMC digital efectuează calcule în memoria unui dispozitiv, unde bucăți dintr-un model de învățare automată sunt stocate după ce au fost mutate de pe un server central.
Întregul model este prea mare pentru a fi stocat pe dispozitiv, dar rupându-l în bucăți și reutilizand acele bucăți cât mai mult posibil, cipurile IMC reduc cantitatea de date care trebuie mutate înainte și înapoi.
Dar cipurile IMC pot fi susceptibile la hackeri. Într-un atac pe canal lateral, un hacker monitorizează consumul de energie al cipului și folosește tehnici statistice pentru a face inginerie inversă a datelor pe măsură ce cip calculează. Într-un atac de sondare a magistralei, hackerul poate fura biți din model și setul de date prin sondarea comunicației dintre accelerator și memoria off-chip.
IMC digital accelerează calculul efectuând milioane de operațiuni simultan, dar această complexitate face dificilă prevenirea atacurilor folosind măsurile de securitate tradiționale, spune Ashok.
Ea și colaboratorii ei au adoptat o abordare în trei direcții pentru a bloca atacurile pe canale laterale și prin sondarea autobuzului.
În primul rând, au folosit o măsură de securitate în care datele din IMC sunt împărțite în bucăți aleatorii. De exemplu, un bit zero ar putea fi împărțit în trei biți care încă sunt egali cu zero după o operație logică. IMC nu calculează niciodată cu toate piesele în aceeași operațiune, așa că un atac pe canal lateral nu ar putea niciodată reconstrui informațiile reale.
Dar pentru ca această tehnică să funcționeze, trebuie adăugați biți aleatori pentru a împărți datele. Deoarece IMC digital efectuează milioane de operațiuni simultan, generarea atât de mulți biți aleatori ar implica prea mult calcul. Pentru cipul lor, cercetătorii au găsit o modalitate de a simplifica calculele, facilitând împărțirea eficientă a datelor, eliminând în același timp nevoia de biți aleatori.
În al doilea rând, au prevenit atacurile prin sondarea magistralei folosind un cifru ușor care criptează modelul stocat în memoria off-chip. Acest cifru ușor necesită doar calcule simple. În plus, au decriptat doar piesele modelului stocate pe cip atunci când este necesar.
În al treilea rând, pentru a îmbunătăți securitatea, au generat cheia care decriptează cifrul direct pe cip, mai degrabă decât să o mute înainte și înapoi cu modelul. Ei au generat această cheie unică din variațiile aleatorii ale cipului care sunt introduse în timpul producției, folosind ceea ce este cunoscut ca o funcție neclonabilă fizic.
„Poate că un fir va fi puțin mai gros decât altul. Putem folosi aceste variații pentru a obține zerouri și unități dintr-un circuit. Pentru fiecare cip, putem obține o cheie aleatorie care ar trebui să fie consecventă, deoarece aceste proprietăți aleatorii nu ar trebui să se schimbe semnificativ în timp”, explică Ashok.
Au refolosit celulele de memorie de pe cip, valorificând imperfecțiunile acestor celule pentru a genera cheia. Acest lucru necesită mai puține calcule decât generarea unei chei de la zero.
„Deoarece securitatea a devenit o problemă critică în proiectarea dispozitivelor de vârf, este nevoie să se dezvolte o stivă completă de sistem care să se concentreze pe funcționarea sigură. Această lucrare se concentrează pe securitatea sarcinilor de lucru de învățare automată și descrie un procesor digital care utilizează optimizarea transversală. Încorporează accesul la date criptate între memorie și procesor, abordări pentru prevenirea atacurilor pe canale laterale folosind randomizarea și exploatarea variabilității pentru a genera coduri unice. Astfel de modele vor fi critice pentru viitoarele dispozitive mobile”, spune Chandrakasan.
Testarea siguranței
Pentru a-și testa cipul, cercetătorii și-au asumat rolul de hackeri și au încercat să fure informații secrete folosind atacuri pe canale laterale și prin sondarea magistralei.
Chiar și după milioane de încercări, ei nu au putut reconstrui nicio informație reală sau extrage fragmente din model sau din setul de date. Cifrul a rămas și el indestructibil. Prin contrast, a fost nevoie de doar aproximativ 5,000 de mostre pentru a fura informații de pe un cip neprotejat.
Adăugarea de securitate a redus eficiența energetică a acceleratorului și a necesitat, de asemenea, o suprafață mai mare a cipului, ceea ce l-ar face mai costisitor de fabricat.
Echipa plănuiește să exploreze metode care ar putea reduce consumul de energie și dimensiunea cipul lor în viitor, ceea ce ar face mai ușor de implementat la scară.
„Pe măsură ce devine prea scump, devine mai greu să convingi pe cineva că securitatea este esențială. Lucrările viitoare ar putea explora aceste compromisuri. Poate că am putea face un pic mai puțin sigur, dar mai ușor de implementat și mai puțin costisitor”, spune Ashok.
Scris de Adam Zewe
